Accueil🇫🇷Chercher

Encapsulating Security Payload

Encapsulating Security Payload (ou ESP), est un protocole appartenant à la suite IPsec, permettant de combiner plusieurs services de sécurité : confidentialité, authentification et intégrité.

Présentation

Le protocole ESP permet de combiner, à volonté, plusieurs services de sécurité comme la confidentialité des données par l'utilisation d'un système de chiffrement; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur); l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).

Par opposition à l'Authentication Header (AH), qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule.

Propriétés

ESP propose de l'authentification de la même manière que AH grâce à l'utilisation de données d'en-tête : Le SPI (Security Parameters Index) permet de caractériser l'association de sécurité utilisée pour la communication (SA). Les données d'authentification contiennent la valeur de vérification d'intégrité (ICV) permettant de vérifier l'authenticité des données du paquet.

Les données chiffrées sont contenues dans la partie « champ libre » (ou PayLoad Data) du paquet. Ce champ contient éventuellement aussi des données de synchronisation. Du bourrage (Padding), peut être ajouté si nécessaire. Sa longueur est spécifiée dans le champ prévu à cet effet. Enfin, le champ En-tête suivant (Next Header) indique la nature des informations contenues dans le Payload Data (champ libre).

Description d'un paquet ESP

Un paquet ESP se présente comme suit :

0 1 2 3
01234567 01234567 01234567 01234567
Index du paramètre de sécurité (SPI)
Numéro de séquence

Données attachées * (variable)

Remplissage (0-255 octets)
Longueur du remplissage En-tête suivant

Données d'authentification (variable)

Significations :

Index du paramètre de sécurité (SPI)
identifie les paramètres de sécurité en fonction de l'adresse IP
Numéro de séquence
un compteur qui évite les attaques par répétition
Données attachées
les données à transférer
Remplissage
permet d'obtenir une taille de bloc compatible avec le chiffrement
Longueur du remplissage
exprimée en octets
En-tête suivant
identifie le protocole utilisé pour le transfert
Données d'authentification
contient les informations nécessaires pour authentifier le paquet

Voir aussi

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.